Comprendre les certificats TLS pour les serveurs Horizon 7

Vous devez suivre certaines recommandations pour la configuration de certificats TLS pour les serveurs Horizon 7 et les composants associés.

Serveur de connexion Horizon et serveur de sécurité

TLS est requis pour les connexions clientes à un serveur. Les instances client du Serveur de connexion, les serveurs de sécurité et les serveurs intermédiaires qui terminent des connexions TLS requièrent des certificats de serveur TLS.

Par défaut, lorsque vous installez le Serveur de connexion ou un serveur de sécurité, l'installation génère un certificat auto-signé pour le serveur. Toutefois, l'installation utilise un certificat existant dans les cas suivants :

Si un certificat valide avec le nom convivial vdm existe déjà dans le magasin de certificats Windows.
Si vous effectuez une mise à niveau vers Horizon 7 depuis une version antérieure, et qu'un fichier de magasin de clés valide est configuré sur l'ordinateur Windows Server, l'installation extrait les clés et les certificats et les importe dans le magasin de certificats Windows.

vCenter Server et View Composer

Avant d'ajouter vCenter Server et View Composer à Horizon 7 dans un environnement de production, vérifiez que vCenter Server et View Composer utilisent des certificats signés par une autorité de certification.

Pour plus d'informations sur le remplacement du certificat par défaut de vCenter Server, consultez le document « Remplacement des certificats vCenter Server » sur le site VMware Technical Papers à l'adresse http://www.vmware.com/resources/techresources/.

Si vous installez vCenter Server et View Composer sur le même hôte Windows Server, ils peuvent utiliser le même certificat TLS, mais vous devez configurer le certificat séparément pour chaque composant.

PCoIP Secure Gateway

Pour respecter les réglementations de sécurité du secteur ou de la juridiction, vous pouvez remplacer le certificat TLS par défaut généré par le service PCoIP Secure Gateway (PSG) par un certificat signé par une autorité de certification. La configuration du service PSG pour utiliser un certificat signé par une autorité de certification est fortement recommandée, en particulier pour les déploiements qui nécessitent que vous utilisiez des scanners de sécurité pour passer les tests de conformité. Reportez-vous à la section TLS.

Blast Secure Gateway

Par défaut, Blast Secure Gateway (BSG) utilise le certificat TLS configuré pour l'instance du Serveur de connexion ou le serveur de sécurité sur lequel est exécuté BSG. Si vous remplacez le certificat auto-signé par défaut pour un serveur par un certificat signé par une autorité de certification, BSG utilise également le certificat signé par une autorité de certification.

Authentificateur SAML 2.0

VMware Identity Manager utilise des authentificateurs SAML 2.0 pour fournir une authentification et une autorisation basées sur le Web sur des domaines de sécurité. Si vous voulez que Horizon 7 délègue l'authentification à VMware Identity Manager, vous pouvez configurer Horizon 7 pour accepter les sessions authentifiées de SAML 2.0 depuis VMware Identity Manager. Lorsque VMware Identity Manager est configuré pour prendre en charge Horizon 7, les utilisateurs de VMware Identity Manager peuvent se connecter à des postes de travail distants en sélectionnant des icônes de poste de travail sur le portail utilisateur d'Horizon.

Dans Horizon Administrator, vous pouvez configurer des authentificateurs SAML 2.0 pour qu'ils utilisent des instances du Serveur de connexion.

Avant d'ajouter un authentificateur SAML 2.0 dans Horizon Administrator, vérifiez que l'authentificateur SAML 2.0 utilise un certificat signé par une autorité de certification.

Recommandations supplémentaires

Pour plus d'informations générales sur la demande et l'utilisation des certificats TLS signés par une autorité de certification, reportez-vous à la section TLS.

Lorsque des points de terminaison clients se connectent à une instance du Serveur de connexion ou à un serveur de sécurité, ils se voient présenter le certificat de serveur TLS du serveur et des certificats intermédiaires dans la chaîne d'approbation. Pour approuver le certificat de serveur, les systèmes client doivent avoir installé le certificat racine de l'autorité de certification de signature.

Lorsque le Serveur de connexion communique avec vCenter Server et View Composer, le Serveur de connexion se voit présenter des certificats de serveur TLS et des certificats intermédiaires de ces serveurs. Pour approuver les serveurs vCenter Server et View Composer Server, l'ordinateur Serveur de connexion doit avoir installé le certificat racine de l'autorité de certification de signature.

De la même façon, si un authentificateur SAML 2.0 est configuré pour le Serveur de connexion, l'ordinateur Serveur de connexion doit avoir installé le certificat racine de l'autorité de certification de signature pour le certificat du serveur SAML 2.0.